Son las ocho o las nueve de la mañana y empieza tu jornada laboral. Depositas tu taza de café en la mesa y enciendes el ordenador. Metes tu contraseña. Arrancas el correo electrónico… 100 correos en la bandeja de entrada, como siempre.
Empiezas a despejar el email, hasta que llegas a un mensaje que hace que des un bote en tu silla, para dejarte después petrificado en el sitio.
Se trata de un correo procedente del departamento de recursos humanos, donde se te informa asépticamente de que la empresa ya no cuenta contigo. Y en este email se adjunta un archivo o un enlace para acceder a la información referida a los motivos de despido o el cálculo de la indemnización que te corresponde. Con la mano temblorosa sobre el ratón, haces clic… Y ya la has liado.
No te habías quedado sin empleo, pero puede que le hayas hecho una importante avería a tu empresa. Y veremos si esto, ahora sí, puede ser motivo de despido.
Al hacer clic, es muy posible que hayas descargado un malware que comprometa la seguridad de los sistemas de la compañía. O quizá hayas entrado en la página falsa de inicio de sesión donde los hackers se habrán hecho con tus credenciales de acceso.
De hecho, los propios empleados suelen ser los responsables de buena parte de las brechas de seguridad en las empresas. En concreto, la omisión de los protocolos de ciberseguridad por parte de los trabajadores explica el 15% de los incidentes sufridos por las compañías españolas, de acuerdo con los datos de un estudio elaborado por Kaspersky, del que nos hacíamos eco en este artículo.
Cuidado con el correo
El ejemplo que acabamos de poner no es inventado. Los expertos de ESET España han descubierto este tipo de fraudes de despido laboral.
No es la primera vez que los ciberdelincuentes aprovechan la necesidad de trabajo para estafar y tratar de obtener información de sus víctimas a través de supuestas ofertas laborales. Por ejemplo, en EMPRENDEDORES hablamos en su momento de la falsa oferta de empleo en TikTok.
Lo novedoso en el caso que nos ocupa es que no se trata de atraer a las víctimas con una promesa de trabajo, sino que estos ataques se basan en la amenaza ante una supuesta terminación del contrato para manipular emocionalmente a los trabajadores y hacer que actúen precipitadamente.
“Los fraudes de despido laboral explotan una de las emociones más primarias en el ámbito profesional: el temor a perder el empleo. Este tipo de engaño se basa en tácticas de ingeniería social diseñadas para inducir una reacción impulsiva y evitar que la víctima se detenga a verificar la legitimidad del mensaje”, declara Josep Albors, director de investigación y concienciación de ESET España.
“La efectividad de estos ataques se ve reflejada en su uso recurrente. De hecho, el phishing sigue siendo una de las tres principales vías de acceso inicial para ataques de ransomware y ha sido responsable de cerca del 25% de los incidentes de cibercrimen con motivaciones financieras en los últimos dos años”, detalla.
¿Cómo detectar estos fraudes?
Como hemos contado, este tipo de ataques suelen llegar desde correos que simulan ser comunicaciones oficiales del departamento de recursos humanos o de entidades externas con supuesta autoridad.
En ellos, se informa del despido y se incluye un archivo adjunto o un enlace, que serán la puerta de entrada de los ciberdelincuentes.
“Al interactuar con estos enlaces o archivos adjuntos, las víctimas pueden enfrentarse a riesgos significativos, como la descarga de malware en su dispositivo o el robo de credenciales mediante páginas falsas de inicio de sesión. Con las credenciales comprometidas, los atacantes pueden obtener acceso a datos corporativos sensibles, secuestrar cuentas de correo electrónico o incluso realizar ataques a gran escala dentro de la organización afectada”, recalca ESET.
La compañía de ciberseguridad destaca algunas señales que nos deben hacer sospechar, tanto en este tipo de fraudes laborales como en otro tipo de ataques de phishing.
Dirección de correo
ESET hace hincapié en la importancia de verificar que el remitente sea legítimo. “Pasa el cursor sobre la dirección del remitente para ver si coincide con el dominio oficial de la empresa”, apunta.
Saludos genéricos
“Expresiones como ‘Estimado empleado’ pueden ser una señal de alerta, ya que una comunicación legítima de recursos humanos suele dirigirse a la persona por su nombre”, indica.
Urgencia en el mensaje
Ésta es una de las principales bazas de los ciberdelincuentes: la urgencia: “Si el correo incita a actuar de inmediato sin dar tiempo a verificar la información, podría tratarse de un intento de estafa”.
Errores ortográficos o gramaticales
Normalmente, se trata de ataques que se lanzan a todo el mundo, por lo que suelen ser traducciones automáticas con este tipo de fallos. “Aunque cada vez menos frecuentes, debido al uso de inteligencia artificial por parte de los ciberdelincuentes, siguen siendo un indicio común de fraude”, afirma ESET.
Enlaces o archivos adjuntos sospechosos
Éste es el primer mandamiento de la ciberseguridad: “Nunca hagas clic en un enlace o abras un archivo adjunto si no estás seguro de su origen”, insiste la compañía. “Puedes verificar los enlaces pasando el cursor sobre ellos antes de hacer clic”, señala.
Solicitudes de credenciales
“Ninguna empresa legítima pedirá que ingreses tu usuario y contraseña en un formulario a través de un correo no solicitado”, concluye.
